Heute mal wieder etwas aus der Rubrik Malware. Vor kurzem trudelte in das Hackerbit-Postfach eine angebliche Bewerbung eines Herrn Schulz.
Im Anhang begrüßen mich das Bewerbungsfoto eines jungen Mannes sowie die angeblichen Bewerbungsunterlagen in einem Zipfile. Ein Grund, mir diese Bewerbung mal genauer zu betrachten.
Wie immer gilt: Ich mache das in einer isolierten Umgebung. Nicht nachmachen.
Was ist im Anhang?
Im Zipfile begrüßen mich Bewerbung und Lebenslauf – allerdings als *.pdf.js. Somit ist der letzte Zweifel beseitigt – es ist definitiv keine fehlgeleitete Bewerbung – es ist Malware mit zwei Droppern.
Die Erkennungsraten der Virenscanner sind noch relativ gering, der Dropper ist noch recht neu. Aber das es sich um den Dropper von Locky o. ä. handeln könnte, ist klar.
Werfen wir also einen Blick in die Dateien. Der große Buchstabensalat ist keineswegs nutzlos: Es ist das Payload als eine Art Blob kodiert, damit man den Zweck als solches nicht erkennt. Beide Dateien haben den gleichen Aufbau und höchstwahrscheinlich auch den gleichen Zielserver. Daher beschränke ich mir auf die Analyse einer Datei, dem angeblichen Lebenslauf.
Wie erwartet läd das Programm eine angebliche Bilddatei (server.tw/head.jpg) herunter und legt sie unter %TEMP% unter einem zufällig generierten Namen ab. Der Dateiname hat 9 Zeichen und keine Erweiterung. Die Datei wird von einem in Russland gehosteten, mit einer Top-Level-Domain von Taiwan versehenen Server heruntergeladen. Auf dem Server läuft eine Installation von DirectAdmin.
Der eigentliche Virus
In der Datei head.jpg versteckt sich kein Bild, sondern die Ransomware Cerber.
Ursprung der Mail
Die Email wird unter martin.schulz.90[at]t-online.de verschickt. Allerdings kommt die Mail keineswegs von einem t-online-User, sondern wird von einem Server mit IP 144.76.x.x. verschickt. Der Server steht in Deutschland und ist seit 25.08.2016 auch in SPAM-Datenbanken aufgefallen. Der Server hat einen aktiven IIS 7.5-Webserver und läuft damit auf Windows.
Wer ist „Martin Schulz“?
Da die Email mit einem Bewerbungsfoto verschickt wurde (das ich an dieser Stelle nicht zeige) muss ja irgendwo eine Person zu dem Bild existieren. Über eine Reverse Image Search habe ich herausgefunden, dass das Bild von der Webseite eines Lübecker Fotostudios entnommen wurde. Das Bild wird sogar über LinkedIn, Xing und Co unter unterschiedlichem Namen verlinkt. Daher ist hier eher vom Missbrauch des Fotos als von Identitätsdiebstahl auszugehen. Der Martin Schulz ist höchstwahrscheinlich erfunden und entstammt aus einem Namensgenerator.
Zusammenfassung
Hinter der vermeintlichen Bewerbung steckt Cerber – und das gleich mehrfach. Die Qualität der Mail in Sachen Deutschkenntnisse ist überraschend gut, Ziel der Attacke sind offensichtlich Unternehmen in Deutschland bzw. deutsprachige Webseiten. Denn das Ziel hier war Hackerb.it, dass eine *.it-Domain hat. Zusammenfassend lässt sich sagen:
Zur Email
- Die Email stammt nicht von einem t-online-Server
- Die Email wird aus Deutschland versendet
- Der Email-Server läuft auf Windows und ist nicht fertig konfiguriert
- Das Bewerbungsfoto ist von einem Fotostudio gestohlen
Zum Malware-Server
Der Server, der den eigentlichen Virus bereithält wurde erst vor kurzem eingerichtet. Dadurch ergeben sich zwei mögliche Gründe:
- Der Betreiber ist gleichzeitig der Malware-Verteiler
- Der Betreiber hat seine Software nicht sauber konfiguriert und wurde gehackt
Wie schützt man sich nun vor so etwas? Eine gute Idee wäre hier auf jeden Fall, die Erweiterungen bei bekannten Dateiformaten hier anzuzeigen. Dann würde, neben dem falschen Icon, die Erweiterung *.pdf.js direkt auffallen. Zusätzlich sind Spamfilter im Mailserver definitiv eine Idee. SpamAssassin hatte bei der Mail einen Verdacht gemeldet. Zurecht.
Beitragsbild: https://stocksnap.io/photo/7ATM75G1EC
